np被od调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

np被od调试

发表于: 2007-2-2 23:28 16173

np被od调试

girl

2007-2-2 23:28

16173

就这样了。。。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

np2.jpg （95.40kb，677次下载）

收藏・3

免费・1

支持

最新回复 (37) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼记得在某人的机子里看到OD跑起来NP的游戏 2007-2-2 23:37 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 3 楼羡慕2G内存啊 2007-2-3 00:21 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 4 楼广告？~~~~~~ 2007-2-3 00:50 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 5 楼 i love you CPU似乎爆了．．期待详细文章 2007-2-3 08:11 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 6 楼好强大的OllyICE啊很好很强大 2007-2-3 10:20 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 7 楼是NP9系列吗？有没修改驱动的工具或教程？ 2007-2-3 11:05 0
founder 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 281 粉丝 0 关注私信	founder 8 楼最初由 heXer* 发布* 羡慕2G内存啊那是虚拟内存+物理内存的总和吧... 2007-2-3 11:40 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 9 楼 ver 907 是虚拟内存+物理内存的总和其实破np也挺简单的。花点时间，大多数人都是可以搞定的 2007-2-3 11:43 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 10 楼 /***********************************************************************/ / 更改ZwDeviceIoControlFile钩子/ /**********************************************************************/ VOID SetHook_ZwDeviceIoControlFile( BOOL bHook ) { // static BOOL HookStatus = FALSE; static BYTE pFuncAddress = NULL; static BYTE OldData[6] = {0}; int i = 0; DWORD OldServiceFunctionAddress; InterSet(); if(bHook) { pFuncAddress =(BYTE)(SYSTEMSERVICE(ZwDeviceIoControlFile));; { while(i<0x500) { //找到最近的RET 28H,也就是函数末尾 if(pFuncAddress[i] == 0xC2&&pFuncAddress[i+1] == 0x28) { while(i>=0) { //返回去找最近的CALL if(pFuncAddress[i] == 0xFF&&pFuncAddress[i+1] == 0x15) { OldServiceFunctionAddress = (DWORD)((DWORD)((&pFuncAddress[i+2]))); i=0; while(i<6) { OldData[i] = pFuncAddress[i]; i++; } pFuncAddress[0] = 0x68; //push (DWORD*)(&pFuncAddress[1]) = OldServiceFunctionAddress; //调用地址 pFuncAddress[5] = 0xC3; //ret break; } i--; } break; } i++; } } // HookStatus = TRUE; } else { if(pFuncAddress[5] == 0xC3) { i = 0; while(i<6) { pFuncAddress[i] = OldData[i]; i++; } } // HookStatus = FALSE; } InterUnset(); } 呵呵，我修改NP的代码．．．．．．只要改几个小地方，然后对np钩的多个SSDT进行修复，一切都可以哦...... 2007-2-3 13:13 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 11 楼好像很多人搞它哦 2007-2-3 13:45 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 12 楼能不能给一个来.我都急着要过NP分析游戏 2007-2-3 13:59 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 13 楼最初由 girl* 发布* ver 907 是虚拟内存+物理内存的总和其实破np也挺简单的。花点时间，大多数人都是可以搞定的最新的也就 910 , 907 强度很大了搂主是猛人，哈哈:) 2007-2-3 14:45 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 14 楼兄弟，最新的NP已经到了95*了。还有最新NP不是HOOK SSDT了而是直接inline-HOOK,我很想知道该怎么修复 2007-2-3 15:58 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 15 楼 inline_HOOK需要找到inline脱钩.具体怎么脱要看他的驱动还原代码了.我这里没有.......正在找....... 2007-2-3 16:29 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 16 楼呵呵,很久前就可以用OD调试NP 游戏了,比楼主早多了.这里能调试的不下几十个人, 根本不算什么 2007-2-3 19:22 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 17 楼楼上这样说就不对了，也许楼主也是很久以前就可以用OD调试NP了，只是没发图罢了 2007-2-3 19:49 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 18 楼功能如此强大，精彩超乎想象 2007-2-4 00:49 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 19 楼用驱动呀.HOHO 一切OK 2007-2-4 00:51 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 20 楼偶不会，咋就米人出来讲一下如何用ＯＤ呢？光发图，发滴偶心痒痒谁来fengxian一下，，，另外ＯＤ调它的时候会出现调试到＂高潮＂突然reset,或者关ＯＤ吗？大大们来说说哦，，， 2007-2-4 07:00 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 21 楼据说高手都是靠这些吃饭的，所以一般不说，就是说也说不清楚，他说的情况，你才能搞定，换一种情况，你就搞不定了。如果只是SSDT HOOK，貌似SOFTICE能直接跑起来？ 2007-2-4 09:35 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 22 楼最初由绫濑遥* 发布* 楼上这样说就不对了，也许楼主也是很久以前就可以用OD调试NP了，只是没发图罢了说得太好了，哈哈 2007-2-4 23:04 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 23 楼为啥我现在用User权限,Np能起驱动了呢.... 2007-2-5 01:57 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 24 楼最初由堕落天才* 发布* 兄弟，最新的NP已经到了95*了。还有最新NP不是HOOK SSDT了而是直接inline-HOOK,我很想知道该怎么修复仍然是在驱动层修复.但是需要通过读取ntoskrnl.exe文件中的导出函数的头5个字节来恢复代码. 2007-2-5 12:03 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 25 楼最初由 Isaiah* 发布* 为啥我现在用User权限,Np能起驱动了呢.... 我也郁闷这一点。真不知道他是如何切到ring0层的。 2007-2-5 13:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

girl

发帖

289

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼记得在某人的机子里看到OD跑起来NP的游戏 2007-2-2 23:37 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 3 楼羡慕2G内存啊 2007-2-3 00:21 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 4 楼广告？~~~~~~ 2007-2-3 00:50 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 5 楼 i love you CPU似乎爆了．．期待详细文章 2007-2-3 08:11 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 6 楼好强大的OllyICE啊很好很强大 2007-2-3 10:20 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 7 楼是NP9系列吗？有没修改驱动的工具或教程？ 2007-2-3 11:05 0
founder 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 281 粉丝 0 关注私信	founder 8 楼最初由 heXer* 发布* 羡慕2G内存啊那是虚拟内存+物理内存的总和吧... 2007-2-3 11:40 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 9 楼 ver 907 是虚拟内存+物理内存的总和其实破np也挺简单的。花点时间，大多数人都是可以搞定的 2007-2-3 11:43 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 10 楼 /***********************************************************************/ / 更改ZwDeviceIoControlFile钩子/ /**********************************************************************/ VOID SetHook_ZwDeviceIoControlFile( BOOL bHook ) { // static BOOL HookStatus = FALSE; static BYTE pFuncAddress = NULL; static BYTE OldData[6] = {0}; int i = 0; DWORD OldServiceFunctionAddress; InterSet(); if(bHook) { pFuncAddress =(BYTE)(SYSTEMSERVICE(ZwDeviceIoControlFile));; { while(i<0x500) { //找到最近的RET 28H,也就是函数末尾 if(pFuncAddress[i] == 0xC2&&pFuncAddress[i+1] == 0x28) { while(i>=0) { //返回去找最近的CALL if(pFuncAddress[i] == 0xFF&&pFuncAddress[i+1] == 0x15) { OldServiceFunctionAddress = (DWORD)((DWORD)((&pFuncAddress[i+2]))); i=0; while(i<6) { OldData[i] = pFuncAddress[i]; i++; } pFuncAddress[0] = 0x68; //push (DWORD*)(&pFuncAddress[1]) = OldServiceFunctionAddress; //调用地址 pFuncAddress[5] = 0xC3; //ret break; } i--; } break; } i++; } } // HookStatus = TRUE; } else { if(pFuncAddress[5] == 0xC3) { i = 0; while(i<6) { pFuncAddress[i] = OldData[i]; i++; } } // HookStatus = FALSE; } InterUnset(); } 呵呵，我修改NP的代码．．．．．．只要改几个小地方，然后对np钩的多个SSDT进行修复，一切都可以哦...... 2007-2-3 13:13 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 11 楼好像很多人搞它哦 2007-2-3 13:45 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 12 楼能不能给一个来.我都急着要过NP分析游戏 2007-2-3 13:59 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 13 楼最初由 girl* 发布* ver 907 是虚拟内存+物理内存的总和其实破np也挺简单的。花点时间，大多数人都是可以搞定的最新的也就 910 , 907 强度很大了搂主是猛人，哈哈:) 2007-2-3 14:45 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 14 楼兄弟，最新的NP已经到了95*了。还有最新NP不是HOOK SSDT了而是直接inline-HOOK,我很想知道该怎么修复 2007-2-3 15:58 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 15 楼 inline_HOOK需要找到inline脱钩.具体怎么脱要看他的驱动还原代码了.我这里没有.......正在找....... 2007-2-3 16:29 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 16 楼呵呵,很久前就可以用OD调试NP 游戏了,比楼主早多了.这里能调试的不下几十个人, 根本不算什么 2007-2-3 19:22 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 17 楼楼上这样说就不对了，也许楼主也是很久以前就可以用OD调试NP了，只是没发图罢了 2007-2-3 19:49 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 18 楼功能如此强大，精彩超乎想象 2007-2-4 00:49 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 19 楼用驱动呀.HOHO 一切OK 2007-2-4 00:51 0
heimei 雪币： 82 活跃值： (531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 20 楼偶不会，咋就米人出来讲一下如何用ＯＤ呢？光发图，发滴偶心痒痒谁来fengxian一下，，，另外ＯＤ调它的时候会出现调试到＂高潮＂突然reset,或者关ＯＤ吗？大大们来说说哦，，， 2007-2-4 07:00 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 21 楼据说高手都是靠这些吃饭的，所以一般不说，就是说也说不清楚，他说的情况，你才能搞定，换一种情况，你就搞不定了。如果只是SSDT HOOK，貌似SOFTICE能直接跑起来？ 2007-2-4 09:35 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 22 楼最初由绫濑遥* 发布* 楼上这样说就不对了，也许楼主也是很久以前就可以用OD调试NP了，只是没发图罢了说得太好了，哈哈 2007-2-4 23:04 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 23 楼为啥我现在用User权限,Np能起驱动了呢.... 2007-2-5 01:57 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 24 楼最初由堕落天才* 发布* 兄弟，最新的NP已经到了95*了。还有最新NP不是HOOK SSDT了而是直接inline-HOOK,我很想知道该怎么修复仍然是在驱动层修复.但是需要通过读取ntoskrnl.exe文件中的导出函数的头5个字节来恢复代码. 2007-2-5 12:03 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 25 楼最初由 Isaiah* 发布* 为啥我现在用User权限,Np能起驱动了呢.... 我也郁闷这一点。真不知道他是如何切到ring0层的。 2007-2-5 13:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复